Informace o bezpečnostním obsahu Safari 10.0.3

Tento dokument popisuje bezpečnostní obsah Safari 10.0.3.

Informace o bezpečnostních aktualizacích Apple

Apple v zájmu ochrany zákazníků nezveřejňuje, nekomentuje ani nepotvrzuje bezpečnostní problémy, dokud nejsou plně vyšetřené a nejsou k dispozici opravy nebo aktualizace. Nejnovější opravy najdete na stránce Bezpečnostní aktualizace Apple.

Podrobnější informace o zabezpečení najdete na této stránce. Komunikaci se společností Apple můžete zašifrovat pomocí klíče PGP zabezpečení produktů Apple.

Pokud je to možné, bezpečnostní dokumenty Apple se na bezpečnostní slabiny odkazují prostřednictvím identifikátorů CVE-ID.

Safari 10.0.3

Safari

K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3

Dopad: Návštěva škodlivého webu může vést ke zfalšování řádku s adresou.

Popis: V řádku s adresou existoval problém se správou stavu, který byl vyřešen vylepšením zpracování URL adres.

CVE-2017-2359: xisigr z týmu Xuanwu Lab společnosti Tencent (tencent.com)

WebKit

K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3

Dopad: Zpracování škodlivého webového obsahu může vést k získání dat napříč původy.

Popis: Problém s přístupem k prototypu byl vyřešen vylepšením zpracování výjimek.

CVE-2017-2350: Gareth Heyes ze společnosti Portswigger Web Security

WebKit

K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením správy paměti.

CVE-2017-2354: Neymar z týmu Xuanwu Lab společnosti Tencent ve spolupráci se Zero Day Initiative společnosti Trend Micro

CVE-2017-2362: Ivan Fratric z týmu Google Project Zero

CVE-2017-2373: Ivan Fratric z týmu Google Project Zero

WebKit

K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Problém s inicializací paměti byl vyřešen vylepšením správy paměti.

CVE-2017-2355: Team Pangu a lokihardt na akci PwnFest 2016

WebKit

K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3

Dopad: Zpracování škodlivého webového obsahu může vést ke spuštění libovolného kódu.

Popis: Několik problémů s poškozením paměti bylo vyřešeno vylepšením ověřování vstupů.

CVE-2017-2356: Team Pangu a lokihardt na akci PwnFest 2016

CVE-2017-2369: Ivan Fratric z týmu Google Project Zero

CVE-2017-2366: Kai Kang z týmu Xuanwu Lab společnosti Tencent (tencent.com)

WebKit

K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3

Dopad: Zpracování škodlivého webového obsahu může vést k získání dat napříč původy.

Popis: Ve zpracování načítání stránek existovalo několik problémů s ověřováním. Tento problém byl vyřešen vylepšením logiky.

CVE-2017-2363: lokihardt z týmu Google Project Zero

CVE-2017-2364: lokihardt z týmu Google Project Zero

WebKit

K dispozici pro: OS X Yosemite 10.10.5, OS X El Capitan 10.11.6 a macOS Sierra 10.12.3

Dopad: Zpracování škodlivého webového obsahu může vést k získání dat napříč původy.

Popis: Ve zpracování proměnných existoval problém s ověřováním. Problém byl vyřešen vylepšením ověřování.

CVE-2017-2365: lokihardt z týmu Google Project Zero

Další poděkování

Zabezpečení WebKitu

Poděkování za pomoc si zaslouží Ben Gras, Kaveh Razavi, Erik Bosman, Herbert Bos a Cristiano Giuffrida ze skupiny VUSec na univerzitě Vrije Universiteit Amsterdam.